sahte windows servisleri

PC hakkındaki genel bilgi ve ipucu paylaşım alanıdır.
Cevapla
Kullanıcı avatarı
Laneth
Gigabyte1
Gigabyte1
Mesajlar: 1879
Kayıt: 06 Ara 2007, 16:13
cinsiyet: Erkek

sahte windows servisleri

Mesaj gönderen Laneth »

Ne zaman “Ctrl+Alt+Delete” yapıp, Windows görev yöneticisini açsak, karsımıza hemen asagıda sıralanan “exe” uzantılı dosyalar çıkar. Aslında birer Windows bileseni olması gereken bu dosyalar, aynı adla gizlenmis birer kötücül yazılım da olabilirler.

Kötücüller ile koruma yazılımları arasındaki savasımda, kötücüllerin sık sık korumaları atlatıp, sisteme sızdıklarını bilirsiniz; o yüzden, bizim de sık sık sisteme sızma olup olmadıgını arastırmamız ve varsa, yerini saptayıp yok etmemiz gerekir.

Asagıda sıralanan Windows servislerinin varsayılan yeri “(Etkin sürücü):\WINDOWS\system32” klasörüdür; aynı adlara bu klasör dısında da rastlarsak, çagrısız bir konugumuz var demektir ve hemen kolları sıvamamız gerekir…:

WINDOWS SERVİSLERİNİN SAHTELERİ:

winlogon.exe : “W32.Netsky” türevi bir kötücüldür;

wmplayer.exe : “W32.Gaobot” yada “W32.Kelvir” türevidir;

svchost.exe : Kötücüldür; çok degisik türlerde karsımıza çıkabilir;

services.exe : “W32.Akhor”, “W32.Netsky”, “W32.Neveg” ve “W32.Conycspa” türevleri olabilir;

smss.exe : “W32.Sober” türevi bir kötücüldür;

lsass.exe : W32.Nimos.Worm yada benzeri bir kötücüldür;

IEXPLORE.EXE : “Backdoor.Aphexdoor” türündendir;

explorer.exe : Trojan.Kility adlı kötücüldür;

csrss.exe : W.32.Netsky türevi bir kötücüldür;

ctfmon.exe : W32.Mydoom türevidir.

NOT:

1) Gerçek IEXPLORE.EXE: “(Etkin sürücü):\Program Files\Internet Explorer” klasöründedir;

2) Gerçek explorer.exe : “(Etkin sürücü):\WINDOWS” klasöründedir;

3) Gerçek wmplayer.exe : "(etkin sürücü):\Program Files\Windows Media Player" klasöründedir

4) Yine Windows bileseni olup da görev yöneticisinde yukardakiler gibi her zaman degil arasıra kullanıldıgında gözüken Windows servislerinin de sahteleri vardır; konunun altına ekleyerek sahteciler listesi zenginlestirilebilir…

Yukarda da belirttigim gibi Windows servislerinin sahtesiyle gerçegi aynı adı tasıyor;

"Not"ta belirttigim üçü dısındaki gerçek Windows servislerinin yeri:
"(Etkin sürücü):\WINDOWS\system32" klasörüdür;

"Acaba bende gözükenler gerçek mi?" diyorsak (ve kimi belirtiler nedeniyle sistemden kusku da duyuyorsak) yapacagımız ilk is: arama kutusuna servisin adını yazıp aramak olmalıdır;

A) Arama sonuçlarına baktıgımızda servisin yeri olarak:

- "(Etkin sürücü):\WINDOWS\system32"
- "(Etkin sürücü):\WINDOWS\system32\dllcache"(*)
- "(Etkin sürücü):\WINDOWS\prefetch"(**) görünüyorsa, sorun (pek)(***) yok demektir;

B) Baska yerlerde de gözüküyorsa, sahtecilik olayıyla karsıkarsıyayız demektir; sistemimizde varolan koruma yazılımlarını askıya alıp, yeni markalarla ve güvenli kipte arama-tarama-temizlik yapmak gerekir...

(*) "dllcache" klasörü Windows'un, servis dosyalarında hasar olustugunda onarım ve degistirme için basvurdugu kaynaktır;

(**) "Prefetch" klasörü ise yine Windows isletim teknigiyle ilgili olup -önsıralama, öndepolama- diyebilecegimiz ve de sistemi rahatlatmak için içi sık sık bosaltılması gereken bir klasör;

(***) Aynı adı kullanan sahtecilerin -ender de olsa- "system32" klasörüne bile sızdıkları söyleniyor; dolayısiyle, "salt korunma" diye birsey yok; ne çok kuskucu olmak ne de "bos ver" dememek, bilinçli olmak gerekiyor...

..................

sahte servislere örnekler

Arr.exe ;Lohan.Dialerdir ve Porno sitelere yüksek ücretli baglantıyı dial-up üstünden yapar.

Bargains.exe ;Bir çesit reklam bot dur.

Bootconf.exe ;Tarayıcınızın anasayfasını coolwebsearch.com yapar sizi delirtir…

Bundle.exe ;shopethome sitesinden boyna reklam indirir.

Bvt.exe ;Autoupder virüsünün parçası sistemi savunmasız bırakır.

Cmd32.exe ;P2P Tanked virüsü kötü niyetli uygulamaları aktive eder.

Cmesys.exe ;GATOR Gain adware idir reklam indirir..

Divx.exe ;Mastak virüsü sonucu çalısır sistemi kararsızlastırır.

Dllreg.exe ;Dumaru virüsü türevi e-posta adreslerine kendini postalar.

Gator.exe ;Kisisel bilgilerinizi gator sirketine iletir.

Hbinst.exe ;Hotbar ile sisteme sızar ve verileri Hotbar’a gönderir..

ledll.exe ;Tarayıcıyı komple coolwebsearch.com a yönlendirir.

Iexplorer.exe ;Iexplore ye isim benxerliginden yararlanarak gizlenir virüs tür.

isass.exe ;Sistemde 3410 nolu portu açar sistem hackerlara yol geçen hanı olur.

Kazza.exe ;Sistemde 3410 nolu portu açar sistem hackerlara açılır.

Loader.exe ;Yine coolwebsearch yönlendirmesi..

Md.exe ;Tarayıcıyı M.o.r.n.o siteye yönlendirir. “Hangisi diye merak etmeyin”

Msblast.exe ;Bir çesit worm port135 i açar sistemi saldırıya karsı savunmasız bırakır..

Msrexe.exe ;Hacking ICQ tools ile gelir win.ini ve System.ini dosyalarını degistirip bir sürü .exe uygulaması olusturur.

Nsupdate.exe ;Dialerdir ve Porno sitelere yüksek ücretli baglantıyı dial-up üstünden yapar.

Patch.exe ;Netbus virüsü sonucu eklenir hackedilmenize olanak verir.

Rundll.exe ;Loxoscam virüsü türevi hacke olanak tanır.

Scvhost.exe ;SVCHOST ile isim benzerligini kullanır Irc backdoor trojandır.

Svchosts.exe ; SVCHOST ile isim benzerligini kullanır sistemin tamamen kontrol edilmesine olanak saglar IRC sunucusuna baglanarak arka planda çalısır..

Teekids.exe ;Lovesan virüsü varyantı FTP yoluyla gelir ve çok agır sistem hasarı yapar..

Win32.exe ;Bir çesit dialer dır yüksek ücretli arama yapar…

Winupdate.exe ;Bu trojan sistemin hacklenmesini saglar ilk çalısmada “uyumsuz windows sürümü” hatası verir..

DİĞER ZARARLILAR ;

alevir.exe , blss.exe , cfd.exe , gmt.exe , iedriver.exe, mscache.exe,infwin.exe , msvxd.exe , mssys.exe,rundll32.exe , run32dll.exe , start.exe , save.exe , svc.exe , system.exe , service.exe , scrsvr.exe ,windows.exe , winmain.exe , msbb.exe

alıntıdır
Başa dön
Kullanıcı avatarı
Kripteks®
Terabyte1
Terabyte1
Mesajlar: 3564
Kayıt: 12 Ara 2006, 12:44
cinsiyet: Erkek
Teşekkür edildi: 3 kez
İletişim:
İletişim Kripteks®

Mesaj gönderen Kripteks® »

güzel bir paylasım olmus tesekkürler
Başa dön
Cevapla

“Genel bilgiler ve ipuçları” sayfasına dön